22 trang 4 lượt tải

Bài giảng Tổng quan về An toàn bảo mật hệ thống thông tin môn Bảo mật thông tin | Đại học Bách Khoa Hà Nội

8

Bài giảng Tổng quan về An toàn bảo mật hệ thống thông tin môn Bảo mật thông tin | Đại học Bách Khoa Hà Nội. Tài liệu được sưu tầm giúp bạn tham khảo, ôn tập và đạt kết quả cao. Mời bạn đọc đón xem.

Môn: Bảo mật thông tin hust 18 tài liệu

Trường: Đại học Bách Khoa Hà Nội 5.4 K tài liệu

Tác giả:

Profile

Truc Le Van Trung

3 ngày trước
Tải xuống
Báo cáo
Danh sách Quiz
Tải xuống
/22
2023
1
ThS. Nguyn Chí Hiếu
2023
1.
Gii thiu v An toàn bo mt HTTT
2.
Các yếu t nh hưng An toàn bo mt HTTT
3.
Các hình thc tn công HTTT
4.
Yêu cu bo mt ca mt HTTT
Ni dung
2023 An toàn bảo mật Hệ thống thông tin 2
1
2
2023
2
2023 An toàn bảo mật Hệ thống thông tin 3
1. Gii thiu v An toàn bo mt
HTTT
Là thut ng mô t v các vn đ v đm bo s toàn
vn, bí mt ca mt h thng thông tin
Có liên quan đến nhiu lĩnh vc: các chính sách bo
mt, bo mt máy tính, phn mm, mng máy tính,
1. Gii thiu v An toàn bo mt HTTT
2023 An toàn bảo mật Hệ thống thông tin 4
3
4
2023
3
H thng thông tin luôn là mc tiêu ca các k tn công.
Mc đích tn công nhm vào các yếu t
Bo mt d liu
Toàn vn ca d liu
Quyn riêng tư ca ngưi dùng
Chng thc ca mt h thng
1. Gii thiu v An toàn bo mt HTTT
2023 An toàn bảo mật Hệ thống thông tin 5
Năm 2020, có hơn 1001 v vi phm, nh hưng đến
d liu ca 155.000.000 cá nhân ti M
Vn đ An toàn bo mt HTTT
2023 An toàn bảo mật Hệ thống thông tin 6
5
6
2023
4
S v xâm phm
d liu hàng năm
và các cá nhân b
nh hưng Hoa
K t năm 2005
đến na đu năm
2022
2023 An toàn bảo mật Hệ thống thông tin 7
https://www.statista.com/statistics/273550/data-breaches-recorded-in-the-united-states-by-number-of-
breaches-and-records-exposed/
2008, tin tc đã tn công email và đánh cp thông tin
ca Scarah Palin
Yahoo mail h tr tính năng khôi phc mt khu bng mt
s câu hi bo mt
Tin tc đã d đoán câu tr li da vào nhng thông tin
liên quan như: nơi sinh, trưng hc, đ truy cp trái phép
Vn đ An toàn bo mt HTTT
2023 An toàn bảo mật Hệ thống thông tin 8
7
8
2023
5
2012, chia s ca Mat Honan v vic mt tài khon
Google, Apple, Amazon. K tn công đã thc hin
nhng bưc sau:
Vn đ An toàn bo mt HTTT
2023 An toàn bảo mật Hệ thống thông tin 9
Đt li mt khu Gmail: gi liên kết xác minh đến
đa ch email d phòng
Google hin th mt phn ca đa ch email d phòng đ gi
nh
Đa ch d phòng ca Mat Honan là tài khon Apple
@me.com ca anh y.
Vn đ An toàn bo mt HTTT
2023 An toàn bảo mật Hệ thống thông tin 10
9
10
2023
6
Đt li mt khu Apple: cn đa ch thanh toán, 4 s
cui ca th tín dng
Đa ch có th d dàng tìm kiếm, nhưng làm thế nào đ có
đưc 4 ch s ca s th tín dng ca ngưi dùng?
Vn đ An toàn bo mt HTTT
2023 An toàn bảo mật Hệ thống thông tin 11
Amazon: có th thêm th tín dng vào tài khon, không
cn mt khu
Đt li mt khu Amazon: cung cp s th tín dng bt
k ca ngưi dùng
Amazon: s không in đy đ s th tín dng. Nhưng s
in 4 ch s cui cùng!
Vn đ An toàn bo mt HTTT
2023 An toàn bảo mật Hệ thống thông tin 12
11
12
2023
7
Đt li mt khu Gmail: gi liên kết xác minh đến đa ch email d phòng
Google hin th mt phn ca đa ch email d phòng đ gi nh
Đa ch d phòng ca Mat Honan là tài khon Apple @me.com ca anh y
Đt li mt khu Apple: cn đa ch thanh toán, 4 s cui ca th tín dng
Đa ch có th d dàng tìm kiếm, nhưng làm thế nào đ có đưc 4 ch s ca s th
tín dng ca ngưi dung?
Amazon: có th thêm th tín dng vào tài khon, không cn mt khu
Đt li mt khu Amazon: cung cp bt k s th tín dng nào ca ngưi dùng
Amazon: s không in đy đ s th tín dng. Nhưng s in 4 ch s cui cùng!
Vn đ An toàn bo mt HTTT
2023 An toàn bảo mật Hệ thống thông tin 13
K tn công có th khôi phc mt khu tài khon
Apple, đc email yêu cu khôi phc tài khon Gmail,
khôi phc mt khu Gmail
Vn đ An toàn bo mt HTTT
2023 An toàn bảo mật Hệ thống thông tin 14
13
14
2023
8
2008, Luciano Bello đã phát hin thut toán to s
ngu nhiên trong gói openssl ca h điu hành Debian
có th d đoán đưc => K tn công có th mo danh
ngưi dùng đ truy xut trái phép h thng
S ngu nhiên đưc dùng đ to khóa trong quá trình to
ch ký đin t
Vn đ An toàn bo mt HTTT
2023 An toàn bảo mật Hệ thống thông tin 15
2023 An toàn bảo mật Hệ thống thông tin 16
2.Các yếu t nh hưng An toàn
bo mt
15
16
2023
9
Chính sách bo mt
Mô hình bo mt
Phn cng + Phn mm
Con ngưi
2.Các yếu t nh hưng An toàn bo mt
2023 An toàn bảo mật Hệ thống thông tin 17
Chính sách bo mt
Không có chính sách v vic kim soát truy cp h thng,
ngăn chn
2.Các yếu t nh hưng An toàn bo mt
2023 An toàn bảo mật Hệ thống thông tin 18
17
18
2023
10
Mô hình bo mt
Chưa đáp ng đưc nhu cu thc tế
Chưa cp nht các công ngh mi như AI vào quy trình
qun lý và x lý l hng
2.Các yếu t nh hưng An toàn bo mt
2023 An toàn bảo mật Hệ thống thông tin 19
Phn cng + Phn mm
Nguy cơ đến t các l hng trong phát trin phn mm, và
các driver điu khin ca thiết b phn cng, hay các phn
mm nguy him
Các phn cng không đưc bo trì thưng xuyên, vá li
phn mm điu khin
2.Các yếu t nh hưng An toàn bo mt
2023 An toàn bảo mật Hệ thống thông tin 20
19
20
2023
11
Con ngưi
Đây là nguyên nhân ca nhiu v mt an toàn v bo mt
Do thiếu các kiến thc chuyên môn và không nhn thc
đưc nguy cơ mt an toàn thông tin
2.Các yếu t nh hưng An toàn bo mt
2023 An toàn bảo mật Hệ thống thông tin 21
2023 An toàn bảo mật Hệ thống thông tin 22
3.Các hình thc tn công HTTT
21
22
2023
12
Hai hình thc tn công:
Tn công ch đng (active): c gng thay đi tài nguyên h
thng hoc nh hưng kh năng hot đng ca chúng
Tn công b đng (passive): không nh hưng tài nguyên
nhưng thu thp thông tin v tài nguyên
3.Các hình thc tn công HTTT
2023 An toàn bảo mật Hệ thống thông tin 23
Phân loi da vào ngun gc cuc tn công
T bên trong (inside): do ngưi có quyn truy cp h thng
phát đng
T bên ngoài (outside): do ngưi t bên ngoài truy cp trái
phép, đc bit qua môi trưng Internet
3.Các hình thc tn công HTTT
2023 An toàn bảo mật Hệ thống thông tin 24
23
24
2023
13
2023 An toàn bảo mật Hệ thống thông tin 25
4.Yêu cu bo mt ca HTTT
(
FIPS200
):
Đánh giá ri ro:
Thc hin đánh giá ri ro đnh k đi vi các h thng thông tin ca t chc
Xác đnh ri ro phát sinh t các hot đng x lý, lưu tr và truyn thông
tin
Đánh giá tác đng ri ro đi vi:Nhim v và chc năng ca t chc, Hình
nh và danh tiếng ca t chc, Tài sn ca t chc, Quyn và li ích ca cá
nhân
Làm cơ s đ la chn và trin khai các bin pháp kim soát an toàn thông
tin phù hp
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 26
25
26
2023
14
Lp kế hoch:
Phát trin và lp tài liu các kế hoch bo đm an toàn thông
tin cho h thng thông tin ca t chc
Cp nht đnh k và trin khai các kế hoch an toàn thông tin
trong sut quá trình vn hành h thng
Mô t rõ các bin pháp kim soát an toàn: đang đưc áp dng,
hoc đưc lên kế hoch trin khai, xây dng và ban hành quy
tc hành vi cho các cá nhân truy cp h thng thông tin
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 27
Qun lý cu hình:
Thiết lp và duy trì cu hình cơ s ca các h thng thông tin
trong t chc
Qun lý cu hình đi vi phn cng, phn mm và tài liu trong
sut vòng đi h thng
Kim soát và qun lý mi thay đi cu hình nhm đm bo tính an
toàn và n đnh ca h thng
Thiết lp và thc thi các cu hình an toàn cho các sn phm công
ngh thông tin đưc s dng trong h thng thông tin ca t chc
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 28
27
28
2023
15
Đnh danh và Xác thc:
Thc hin đnh danh và xác đnh danh tính ca ngưi dùng trong
h thng thông tin
Xác đnh và áp dng các quy trình đnh danh và xác thc đi vi:
ngưi dung, thiết b
Yêu cu đnh danh và xác thc thành công như điu kin tiên quyết
đ đưc phép truy cp h thng thông tin ca t chc
Đm bo ch các ch th hp l và đưc y quyn mi có th truy
cp h thng
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 29
Kim soát truy cp:
Ch cho phép ngưi dùng đưc y quyn truy cp và s dng thông
tin trong h thng
Hn chế và ngăn chn truy cp trái phép vào h thng thông tin
Ch cho phép thc hin các hot đng đưc phép theo quyn đưc
cp, bao gm: Thao tác trên thiết b, Các loi liên kết và chc
năng, Tiến trình và dch v trên h thng
Đm bo vic truy cp và s dng tài nguyên h thng phù hp vi
quyn hn ca tng ngưi dùng
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 30
29
30
2023
16
Bo v mc vt lý và môi trưng:
Hn chế quyn truy cp vt lý vào h thng thông tin, thiết b và khu vc vn
hành ch cho cá nhân đưc y quyn
Bo v thiết b, cơ s h tng h tr (ngun đin, mng, điu hòa, phòng máy
ch)
Đm bo cung cp đy đ tin ích h tr cho h thng thông tin hot đng
liên tc
Bo v h thng thông tin trưc các nguy cơ và him ha môi trưng (cháy n,
lũ lt, nhit đ, đ m, thiên tai)
Áp dng các bin pháp kim soát môi trưng phù hp ti các cơ s cha h
thng thông tin
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 31
Bo v phương tin:
Bo v các phương tin lưu tr thông tin, bao gm: Tài liu
giy, Phương tin lưu tr s (USB, cng, băng t, đĩa
quang, )
Gii hn quyn truy cp thông tin trên phương tin cho các cá
nhân đưc y quyn
Thc hin v sinh d liu hoc phá hy phương tin trưc
khi:X lý, Chuyn giao, Tái s dng
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 32
31
32
2023
17
An toàn h thng và dch v:
Phân b đy đ ngun lc đ bo v h thng thông tin ca t chc
Tuân th vòng đi phát trin h thng, trong đó tích hp các yêu cu an
toàn thông tin ngay t giai đon thiết kế
Hn chế vic cài đt và s dng phn mm, ch cho phép s dng khi
tht s cn thiết
Đm bo nhà cung cp bên th ba áp dng các bin pháp bo mt phù
hp đ bo v thông tin, ng dng và dch v thuê ngoài ca t chc
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 33
Bo v h thng mng:
Giám sát, kim soát và bo v thông tin liên lc ca t chc đưc
truyn hoc nhn bi h thng thông tin
Áp dng các bin pháp bo mt bên ngoài và ni b ca h thng
thông tin
S dng kiến trúc h thng an toàn đ gim thiu ri ro tn công
mng
Áp dng k thut phát trin phn mm an toàn và các nguyên tc
thiết kế k thut nhm tăng cưng hiu qu bo mt thông tin
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 34
33
34
2023
18
Đm bo tính toàn vn ca h thng và thông tin
Phát hin, báo cáo và khc phc kp thi các li và s c ca h
thng thông tin
Trin khai các cơ chế bo v chng mã đc ti các v trí phù hp
trong h thng
Giám sát các cnh báo an toàn thông tin và s kin bt thưng
trong h thng
Thc hin các bin pháp x lý phù hp nhm ngăn chn và gim
thiu tác đng ca các s c an toàn thông tin
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 35
An toàn con ngưi:
Đm bo nhân s và nhà cung cp bên th ba đáp ng các tiêu chí
bo mt phù hp vi v trí và trách nhim đưc giao
Bo v thông tin ca t chc trong toàn b vòng đi nhân s: tyn
dng, thay đi v trí công tác, chm dt hp đng hoc bàn giao
công vic
Áp dng các bin pháp x lý và trng pht chính thc đi vi nhân
viên không tuân th các chính sách và quy trình an toàn thông tin
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 36
35
36
2023
19
Đào to và tuyên truyn:
Nâng cao nhn thc an toàn thông tin cho nhà qun lý và ngưi s
dng h thng thông tin
Giúp nhân s hiu rõ các ri ro an toàn thông tin liên quan đến hot
đng ca mình
Đm bo tuân th pháp lut, quy đnh và chính sách an toàn thông tin
ca t chc
Đào to đy đ kiến thc và k năng cn thiết đ nhân s thc hin
đúng các nhim v và trách nhim v an toàn thông tin đưc giao
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 37
Kim soát và Gn trách nhim:
Thiết lp cơ chế to, bo v và lưu tr h sơ kim soát h thng thông
tin
Cho phép giám sát, phân tích, điu tra và báo cáo các hot đng ca h
thng
Phát hin các hành vi bt hp pháp, trái phép hoc không phù hp trên
h thng thông tin
Đm bo mi hành vi ca ngưi dùng đu có th truy vết, xác đnh duy
nht cá nhân thc hin và gn trách nhim đi vi các hành đng không
phù hp
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 38
37
38
2023
20
Lp kế hoch d phòng:
Thiết lp, duy trì và trin khai các kế hoch ng phó khn cp
cho h thng thông tin
Xây dng kế hoch vn hành d phòng và phc hi sau s c
Đm bo tính sn có ca các ngun thông tin quan trng
Duy trì tính liên tc ca hot đng h thng thông tin ngay c
trong các tình hung khn cp
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 39
Mt s yêu cu bo mt đi vi mt HTTT:
ng phó s c:
Thiết lp kh năng x lý s c an toàn thông tin cho h thng thông
tin ca t chc
Thc hin đy đ các hot đng: chun b, phát hin, phân tích,
ngăn chn, phc hi, phn hi ngưi dùng,
Theo dõi, lp tài liu và báo cáo s c an toàn thông tin
Thông báo s c cho các cp qun lý hoc ngưi có thm quyn phù
hp
4.Yêu cu bo mt ca HTTT
2023 An toàn bảo mật Hệ thống thông tin 40
39
40

Tài liệu khác của Đại học Bách Khoa Hà Nội

Preview text:

2023 ThS. Nguyễn Chí Hiếu 2023 1 Nội dung
1. Giới thiệu về An toàn bảo mật HTTT
2. Các yếu tố ảnh hưởng An toàn bảo mật HTTT
3. Các hình thức tấn công HTTT
4. Yêu cầu bảo mật của một HTTT 2023
An toàn bảo mật Hệ thống thông tin 2 2 1 2023
1. Giới thiệu về An toàn bảo mật HTTT  2023
An toàn bảo mật Hệ thống thông tin 3 3
1. Giới thiệu về An toàn bảo mật HTTT
 Là thuật ngữ mô tả về các vấn đề về đảm bảo sự toàn
vẹn, bí mật của một hệ thống thông tin
 Có liên quan đến nhiều lĩnh vực: các chính sách bảo
mật, bảo mật máy tính, phần mềm, mạng máy tính, … 2023
An toàn bảo mật Hệ thống thông tin 4 4 2 2023
1. Giới thiệu về An toàn bảo mật HTTT
 Hệ thống thông tin luôn là mục tiêu của các kẻ tấn công.
 Mục đích tấn công nhằm vào các yếu tố  Bảo mật dữ liệu
 Toàn vẹn của dữ liệu
 Quyền riêng tư của người dùng
 Chứng thực của một hệ thống 2023
An toàn bảo mật Hệ thống thông tin 5 5
Vấn đề An toàn bảo mật HTTT
 Năm 2020, có hơn 1001 vụ vi phạm, ảnh hưởng đến
dữ liệu của 155.000.000 cá nhân tại Mỹ 2023
An toàn bảo mật Hệ thống thông tin 6 6 3 2023  Số vụ xâm phạm dữ liệu hàng năm và các cá nhân bị ảnh hưởng ở Hoa Kỳ từ năm 2005 đến nửa đầu năm 2022
https://www.statista.com/statistics/273550/data-breaches-recorded-in-the-united-states-by-number-of- breaches-and-records-exposed/ 2023
An toàn bảo mật Hệ thống thông tin 7 7
Vấn đề An toàn bảo mật HTTT
 2008, tin tặc đã tấn công email và đánh cắp thông tin của Scarah Palin
 Yahoo mail hỗ trợ tính năng khôi phục mật khẩu bằng một số câu hỏi bảo mật
 Tin tặc đã dự đoán câu trả lời dựa vào những thông tin
liên quan như: nơi sinh, trường học, … để truy cập trái phép 2023
An toàn bảo mật Hệ thống thông tin 8 8 4 2023
Vấn đề An toàn bảo mật HTTT
 2012, chia sẻ của Mat Honan về việc mất tài khoản
Google, Apple, Amazon. Kẻ tấn công đã thực hiện những bước sau: 2023
An toàn bảo mật Hệ thống thông tin 9 9
Vấn đề An toàn bảo mật HTTT
 Đặt lại mật khẩu Gmail: gửi liên kết xác minh đến
địa chỉ email dự phòng
 Google hiển thị một phần của địa chỉ email dự phòng để gợi nhớ
 Địa chỉ dự phòng của Mat Honan là tài khoản Apple @me.com của anh ấy. 2023
An toàn bảo mật Hệ thống thông tin 10 10 5 2023
Vấn đề An toàn bảo mật HTTT
 Đặt lại mật khẩu Apple: cần địa chỉ thanh toán, 4 số
cuối của thẻ tín dụng
 Địa chỉ có thể dễ dàng tìm kiếm, nhưng làm thế nào để có
được 4 chữ số của số thẻ tín dụng của người dùng? 2023
An toàn bảo mật Hệ thống thông tin 11 11
Vấn đề An toàn bảo mật HTTT
 Amazon: có thể thêm thẻ tín dụng vào tài khoản, không cần mật khẩu
 Đặt lại mật khẩu Amazon: cung cấp số thẻ tín dụng bất kỳ của người dùng
 Amazon: sẽ không in đầy đủ số thẻ tín dụng. Nhưng sẽ in 4 chữ số cuối cùng! 2023
An toàn bảo mật Hệ thống thông tin 12 12 6 2023
Vấn đề An toàn bảo mật HTTT 
Đặt lại mật khẩu Gmail: gửi liên kết xác minh đến địa chỉ email dự phòng 
Google hiển thị một phần của địa chỉ email dự phòng để gợi nhớ 
Địa chỉ dự phòng của Mat Honan là tài khoản Apple @me.com của anh ấy 
Đặt lại mật khẩu Apple: cần địa chỉ thanh toán, 4 số cuối của thẻ tín dụng 
Địa chỉ có thể dễ dàng tìm kiếm, nhưng làm thế nào để có được 4 chữ số của số thẻ
tín dụng của người dung? 
Amazon: có thể thêm thẻ tín dụng vào tài khoản, không cần mật khẩu 
Đặt lại mật khẩu Amazon: cung cấp bất kỳ số thẻ tín dụng nào của người dùng 
Amazon: sẽ không in đầy đủ số thẻ tín dụng. Nhưng sẽ in 4 chữ số cuối cùng! 2023
An toàn bảo mật Hệ thống thông tin 13 13
Vấn đề An toàn bảo mật HTTT
 Kẻ tấn công có thể khôi phục mật khẩu tài khoản
Apple, đọc email yêu cầu khôi phục tài khoản Gmail,
khôi phục mật khẩu Gmail 2023
An toàn bảo mật Hệ thống thông tin 14 14 7 2023
Vấn đề An toàn bảo mật HTTT
 2008, Luciano Bello đã phát hiện thuật toán tạo số
ngẫu nhiên trong gói openssl của hệ điều hành Debian
có thể dự đoán được => Kẻ tấn công có thể mạo danh
người dùng để truy xuất trái phép hệ thống
 Số ngẫu nhiên được dùng để tạo khóa trong quá trình tạo chữ ký điện tử 2023
An toàn bảo mật Hệ thống thông tin 15 15
2.Các yếu tố ảnh hưởng An toàn bảo mật  2023
An toàn bảo mật Hệ thống thông tin 16 16 8 2023
2.Các yếu tố ảnh hưởng An toàn bảo mật  Chính sách bảo mật  Mô hình bảo mật
 Phần cứng + Phần mềm  Con người 2023
An toàn bảo mật Hệ thống thông tin 17 17
2.Các yếu tố ảnh hưởng An toàn bảo mật  Chính sách bảo mật
 Không có chính sách về việc kiểm soát truy cập hệ thống, ngăn chặn 2023
An toàn bảo mật Hệ thống thông tin 18 18 9 2023
2.Các yếu tố ảnh hưởng An toàn bảo mật  Mô hình bảo mật
 Chưa đáp ứng được nhu cầu thực tế
 Chưa cập nhật các công nghệ mới như AI vào quy trình
quản lý và xử lý lỗ hổng 2023
An toàn bảo mật Hệ thống thông tin 19 19
2.Các yếu tố ảnh hưởng An toàn bảo mật
 Phần cứng + Phần mềm
 Nguy cơ đến từ các lỗ hổng trong phát triển phần mềm, và
các driver điều khiển của thiết bị phần cứng, hay các phần mềm nguy hiểm
 Các phần cứng không được bảo trì thường xuyên, vá lỗi phần mềm điều khiển 2023
An toàn bảo mật Hệ thống thông tin 20 20 10 2023
2.Các yếu tố ảnh hưởng An toàn bảo mật  Con người
 Đây là nguyên nhân của nhiều vụ mất an toàn về bảo mật
 Do thiếu các kiến thức chuyên môn và không nhận thức
được nguy cơ mất an toàn thông tin 2023
An toàn bảo mật Hệ thống thông tin 21 21
3.Các hình thức tấn công HTTT  2023
An toàn bảo mật Hệ thống thông tin 22 22 11 2023
3.Các hình thức tấn công HTTT
 Hai hình thức tấn công:
 Tấn công chủ động (active): cố gắng thay đổi tài nguyên hệ
thống hoặc ảnh hưởng khả năng hoạt động của chúng
 Tấn công bị động (passive): không ảnh hưởng tài nguyên
nhưng thu thập thông tin về tài nguyên 2023
An toàn bảo mật Hệ thống thông tin 23 23
3.Các hình thức tấn công HTTT
 Phân loại dựa vào nguồn gốc cuộc tấn công
 Từ bên trong (inside): do người có quyền truy cập hệ thống phát động
 Từ bên ngoài (outside): do người từ bên ngoài truy cập trái
phép, đặc biệt qua môi trường Internet 2023
An toàn bảo mật Hệ thống thông tin 24 24 12 2023
4.Yêu cầu bảo mật của HTTT  2023
An toàn bảo mật Hệ thống thông tin 25 25
4.Yêu cầu bảo mật của HTTT  (FIPS200):  Đánh giá rủi ro: 
Thực hiện đánh giá rủi ro định kỳ đối với các hệ thống thông tin của tổ chức 
Xác định rủi ro phát sinh từ các hoạt động xử lý, lưu trữ và truyền thông tin 
Đánh giá tác động rủi ro đối với:Nhiệm vụ và chức năng của tổ chức, Hình
ảnh và danh tiếng của tổ chức, Tài sản của tổ chức, Quyền và lợi ích của cá nhân 
Làm cơ sở để lựa chọn và triển khai các biện pháp kiểm soát an toàn thông tin phù hợp 2023
An toàn bảo mật Hệ thống thông tin 26 26 13 2023
4.Yêu cầu bảo mật của HTTT  Lập kế hoạch:
 Phát triển và lập tài liệu các kế hoạch bảo đảm an toàn thông
tin cho hệ thống thông tin của tổ chức
 Cập nhật định kỳ và triển khai các kế hoạch an toàn thông tin
trong suốt quá trình vận hành hệ thống
 Mô tả rõ các biện pháp kiểm soát an toàn: đang được áp dụng,
hoặc được lên kế hoạch triển khai, xây dựng và ban hành quy
tắc hành vi cho các cá nhân truy cập hệ thống thông tin 2023
An toàn bảo mật Hệ thống thông tin 27 27
4.Yêu cầu bảo mật của HTTT  Quản lý cấu hình:
 Thiết lập và duy trì cấu hình cơ sở của các hệ thống thông tin trong tổ chức
 Quản lý cấu hình đối với phần cứng, phần mềm và tài liệu trong
suốt vòng đời hệ thống
 Kiểm soát và quản lý mọi thay đổi cấu hình nhằm đảm bảo tính an
toàn và ổn định của hệ thống
 Thiết lập và thực thi các cấu hình an toàn cho các sản phẩm công
nghệ thông tin được sử dụng trong hệ thống thông tin của tổ chức 2023
An toàn bảo mật Hệ thống thông tin 28 28 14 2023
4.Yêu cầu bảo mật của HTTT
 Định danh và Xác thực:
 Thực hiện định danh và xác định danh tính của người dùng trong hệ thống thông tin
 Xác định và áp dụng các quy trình định danh và xác thực đối với: người dung, thiết bị
 Yêu cầu định danh và xác thực thành công như điều kiện tiên quyết
để được phép truy cập hệ thống thông tin của tổ chức
 Đảm bảo chỉ các chủ thể hợp lệ và được ủy quyền mới có thể truy cập hệ thống 2023
An toàn bảo mật Hệ thống thông tin 29 29
4.Yêu cầu bảo mật của HTTT  Kiểm soát truy cập:
 Chỉ cho phép người dùng được ủy quyền truy cập và sử dụng thông tin trong hệ thống
 Hạn chế và ngăn chặn truy cập trái phép vào hệ thống thông tin
 Chỉ cho phép thực hiện các hoạt động được phép theo quyền được
cấp, bao gồm: Thao tác trên thiết bị, Các loại liên kết và chức
năng, Tiến trình và dịch vụ trên hệ thống
 Đảm bảo việc truy cập và sử dụng tài nguyên hệ thống phù hợp với
quyền hạn của từng người dùng 2023
An toàn bảo mật Hệ thống thông tin 30 30 15 2023
4.Yêu cầu bảo mật của HTTT 
Bảo vệ mức vật lý và môi trường: 
Hạn chế quyền truy cập vật lý vào hệ thống thông tin, thiết bị và khu vực vận
hành chỉ cho cá nhân được ủy quyền 
Bảo vệ thiết bị, cơ sở hạ tầng hỗ trợ (nguồn điện, mạng, điều hòa, phòng máy chủ) 
Đảm bảo cung cấp đầy đủ tiện ích hỗ trợ cho hệ thống thông tin hoạt động liên tục 
Bảo vệ hệ thống thông tin trước các nguy cơ và hiểm họa môi trường (cháy nổ,
lũ lụt, nhiệt độ, độ ẩm, thiên tai) 
Áp dụng các biện pháp kiểm soát môi trường phù hợp tại các cơ sở chứa hệ thống thông tin 2023
An toàn bảo mật Hệ thống thông tin 31 31
4.Yêu cầu bảo mật của HTTT
 Bảo vệ phương tiện:
 Bảo vệ các phương tiện lưu trữ thông tin, bao gồm: Tài liệu
giấy, Phương tiện lưu trữ số (USB, ổ cứng, băng từ, đĩa quang, …)
 Giới hạn quyền truy cập thông tin trên phương tiện cho các cá nhân được ủy quyền
 Thực hiện vệ sinh dữ liệu hoặc phá hủy phương tiện trước
khi:Xử lý, Chuyển giao, Tái sử dụng 2023
An toàn bảo mật Hệ thống thông tin 32 32 16 2023
4.Yêu cầu bảo mật của HTTT
 An toàn hệ thống và dịch vụ: 
Phân bổ đầy đủ nguồn lực để bảo vệ hệ thống thông tin của tổ chức 
Tuân thủ vòng đời phát triển hệ thống, trong đó tích hợp các yêu cầu an
toàn thông tin ngay từ giai đoạn thiết kế 
Hạn chế việc cài đặt và sử dụng phần mềm, chỉ cho phép sử dụng khi thật sự cần thiết 
Đảm bảo nhà cung cấp bên thứ ba áp dụng các biện pháp bảo mật phù
hợp để bảo vệ thông tin, ứng dụng và dịch vụ thuê ngoài của tổ chức 2023
An toàn bảo mật Hệ thống thông tin 33 33
4.Yêu cầu bảo mật của HTTT
 Bảo vệ hệ thống mạng:
 Giám sát, kiểm soát và bảo vệ thông tin liên lạc của tổ chức được
truyền hoặc nhận bởi hệ thống thông tin
 Áp dụng các biện pháp bảo mật bên ngoài và nội bộ của hệ thống thông tin
 Sử dụng kiến trúc hệ thống an toàn để giảm thiểu rủi ro tấn công mạng
 Áp dụng kỹ thuật phát triển phần mềm an toàn và các nguyên tắc
thiết kế kỹ thuật nhằm tăng cường hiệu quả bảo mật thông tin 2023
An toàn bảo mật Hệ thống thông tin 34 34 17 2023
4.Yêu cầu bảo mật của HTTT
 Đảm bảo tính toàn vẹn của hệ thống và thông tin
 Phát hiện, báo cáo và khắc phục kịp thời các lỗi và sự cố của hệ thống thông tin
 Triển khai các cơ chế bảo vệ chống mã độc tại các vị trí phù hợp trong hệ thống
 Giám sát các cảnh báo an toàn thông tin và sự kiện bất thường trong hệ thống
 Thực hiện các biện pháp xử lý phù hợp nhằm ngăn chặn và giảm
thiểu tác động của các sự cố an toàn thông tin 2023
An toàn bảo mật Hệ thống thông tin 35 35
4.Yêu cầu bảo mật của HTTT  An toàn con người:
 Đảm bảo nhân sự và nhà cung cấp bên thứ ba đáp ứng các tiêu chí
bảo mật phù hợp với vị trí và trách nhiệm được giao
 Bảo vệ thông tin của tổ chức trong toàn bộ vòng đời nhân sự: tyển
dụng, thay đổi vị trí công tác, chấm dứt hợp đồng hoặc bàn giao công việc
 Áp dụng các biện pháp xử lý và trừng phạt chính thức đối với nhân
viên không tuân thủ các chính sách và quy trình an toàn thông tin 2023
An toàn bảo mật Hệ thống thông tin 36 36 18 2023
4.Yêu cầu bảo mật của HTTT
 Đào tạo và tuyên truyền: 
Nâng cao nhận thức an toàn thông tin cho nhà quản lý và người sử
dụng hệ thống thông tin 
Giúp nhân sự hiểu rõ các rủi ro an toàn thông tin liên quan đến hoạt động của mình 
Đảm bảo tuân thủ pháp luật, quy định và chính sách an toàn thông tin của tổ chức 
Đào tạo đầy đủ kiến thức và kỹ năng cần thiết để nhân sự thực hiện
đúng các nhiệm vụ và trách nhiệm về an toàn thông tin được giao 2023
An toàn bảo mật Hệ thống thông tin 37 37
4.Yêu cầu bảo mật của HTTT
 Kiểm soát và Gắn trách nhiệm: 
Thiết lập cơ chế tạo, bảo vệ và lưu trữ hồ sơ kiểm soát hệ thống thông tin 
Cho phép giám sát, phân tích, điều tra và báo cáo các hoạt động của hệ thống 
Phát hiện các hành vi bất hợp pháp, trái phép hoặc không phù hợp trên hệ thống thông tin 
Đảm bảo mọi hành vi của người dùng đều có thể truy vết, xác định duy
nhất cá nhân thực hiện và gắn trách nhiệm đối với các hành động không phù hợp 2023
An toàn bảo mật Hệ thống thông tin 38 38 19 2023
4.Yêu cầu bảo mật của HTTT
 Lập kế hoạch dự phòng:
 Thiết lập, duy trì và triển khai các kế hoạch ứng phó khẩn cấp cho hệ thống thông tin
 Xây dựng kế hoạch vận hành dự phòng và phục hồi sau sự cố
 Đảm bảo tính sẵn có của các nguồn thông tin quan trọng
 Duy trì tính liên tục của hoạt động hệ thống thông tin ngay cả
trong các tình huống khẩn cấp 2023
An toàn bảo mật Hệ thống thông tin 39 39
4.Yêu cầu bảo mật của HTTT
 Một số yêu cầu bảo mật đối với một HTTT:  Ứng phó sự cố: 
Thiết lập khả năng xử lý sự cố an toàn thông tin cho hệ thống thông tin của tổ chức 
Thực hiện đầy đủ các hoạt động: chuẩn bị, phát hiện, phân tích,
ngăn chặn, phục hồi, phản hồi người dùng, 
Theo dõi, lập tài liệu và báo cáo sự cố an toàn thông tin 
Thông báo sự cố cho các cấp quản lý hoặc người có thẩm quyền phù hợp 2023
An toàn bảo mật Hệ thống thông tin 40 40 20

Tài liệu liên quan: